NETSKY.I, gusano de alta propagación masiva vía Correo borra valores y registros de virus conocidos.  

© Jorge Machado  Lima-Perú

W32/Netsky.I@mm, I-worm.netsky.I@mm

Netsky.I es un gusano variante de la familia Netsky, de alta propagación a través de mensajes de Correo, reportado el 08 de Marzo del 2004 con un archivo anexado de que simula ser un enlace (link), con el nombre del dominio del Receptor y la extensión .SCR que contiene el archivo fooding.exe que es el gusano en sí. 

En caso que el sistema esté infectado con los virus Mydoom, Mydoom.B, Netsky.A, Netsky.B, Deadhat.B, Nachi.B, Nachi.C, Parite.A, Bagle.A hasta el Bagle.K, los desactiva borrando los valores de sus llaves de registro.

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes, construyendo la dirección con la palabra [service]@[dominio_del_receptor].

Los Asuntos, Contenidos son aleatorios, elegidos de una lista. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, está desarrollado en Visual C++ con una extensión de 21.5 KB y comprimido con el utilitario PEPack:

http://www.pestpatrol.com/PestInfo/p/pepack_1_0.asp

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

Tiene instrucciones para evitar enviarse a direcciones que tengan las siguientes cadenas:

Emplea el DNS (Domain Name Server) local, extraído a través de un comando API y en caso que este no funcione usa una lista de DNS, cuya siguiente relación se encuentra cifrada en su código viral:

Los mensajes tienen estas características:

Remitente, usa la técnica Spoofing construyendo la dirección con la palabra "service" y el nombre del dominio del Receptor:

service@[dominio_del_usuario] 

Asunto, uno de los siguientes: 

Contenido, uno de los siguientes:

Anexado: http://www.[dominio]/[nombre_del_usuario/index.scr

El dominio puede variar pero está relacionado al dominio del usuario en caso de pertenecer a un red con DNS, incluye el nombre del receptor y el nombre del archivo varia, pero siempre tiene la extensión .SCR

Al ser activado crea un mutex (Exclusión Mutua) denominado K0[SkyNet.cz]SystemsMutex para evitar ser ejecutado en memoria más de una vez. 

Al ser activado se auto-copia al directorio %Windir% con el nombre fooding.exe y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Tiny AV" = "%Windir%\fooding.exe -antivirus service" 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

El gusano borra los valores de los registros asociados a los siguientes virus:

Mydoom.A

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Taskmon

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Taskmon

Mydoom.B

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Explorer

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Explorer

Para Mydoom.A y Mydoom.B:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Netsky.A y Netsky.B

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
service

Deadhat.B

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
msgsvr32

Nachi.B y Nachi.C

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]
WksPatch

Parite.A

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
PINF

Bagle.A

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
d3dupdate.exe

Bagle.B

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
au.exe

Bagle.E, Bagle.F, Bagle.G y Bagle.H

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
rate.exe

Bagle.J y Bagle.K

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ssate.exe

Este gusano también borra los siguientes registros que pudiesen ser utilizados por otros virus: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
system

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
system

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
DELETE ME

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
OLE

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Sentry

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Services Host

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Windows Services Host

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
sysmon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
srate.exe

El 08 de Marzo a las 11:00 AM el gusano genera sonidos "beep" intermitentes.

Dentro de su código se puede leer esta cadena de texto:

Skynet AntiVirus - MyDoom and Bagle are spammer 

Sus payloads son los siguientes:

PER ANTIVIRUS® versión 8.5 con registro de virus al 08 de Marzo del 2004 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS